When Grammar Guides the Attack: Uncovering Control-Plane Vulnerabilities in LLMs with Structured Output
์์ฑ์
- Haebom
์นดํ
๊ณ ๋ฆฌ
Empty
์ ์
Shuoming Zhang, Jiacheng Zhao, Hanyuan Dong, Ruiyuan Xu, Zhicheng Li, Yangyu Zhang, Shuaijiang Li, Yuan Wen, Chunwei Xia, Zheng Wang, Xiaobing Feng, Huimin Cui
๐ก ๊ฐ์
๋ณธ ๋
ผ๋ฌธ์ LLM์ด ๊ตฌ์กฐํ๋ ์ถ๋ ฅ API๋ฅผ ํตํด ๋๊ตฌ ํ๋ซํผ์ผ๋ก ํ์ฉ๋ ๋ ๋ฐ์ํ๋ ์๋ก์ด ์ ํ์ ์ ์ด๋ฉด ๊ณต๊ฒฉ์ธ CDA(Constrained Decoding Attack)๋ฅผ ์ ์ํฉ๋๋ค. CDA๋ ๋ฌธ๋ฒ ๊ธฐ๋ฐ ๋์ฝ๋ฉ ๊ณผ์ ์ ์
์ฉํ์ฌ ์ ํดํ ์๋๋ฅผ ์ฃผ์
ํ๋ฉฐ, ์ด๋ ๊ธฐ์กด์ ๋ฐ์ดํฐ๋ฉด ์ทจ์ฝ์ ๊ณผ๋ ๋ฌ๋ฆฌ ๋ชจ๋ธ ์์ฒด์ ์์ ์ ๋ ฌ๋ง์ผ๋ก๋ ๋ง๊ธฐ ์ด๋ ต์ต๋๋ค. EnumAttack๊ณผ DictAttack์ ํตํด CDA๋ฅผ ๊ตฌํํ ๊ฒฐ๊ณผ, ์ต์ LLM์์ ๋งค์ฐ ๋์ ๊ณต๊ฒฉ ์ฑ๊ณต๋ฅ ์ ๋ณด์ด๋ฉฐ ์๋ก์ด ๋ฐฉ์ด ์ ๋ต์ ํ์์ฑ์ ์์ฌํฉ๋๋ค.
๐ ์์ฌ์ ๋ฐ ํ๊ณ
โข
LLM์ ๊ตฌ์กฐํ๋ ์ถ๋ ฅ API ์ฌ์ฉ์ ์ ์ด๋ฉด ๊ณต๊ฒฉ์ ๋ํ ์๋ก์ด ์ทจ์ฝ์ ์ ๋
ธ์ถํ๋ฉฐ, ๊ธฐ์กด์ ์์ ์ฅ์น๋ง์ผ๋ก๋ ํจ๊ณผ์ ์ธ ๋ฐฉ์ด๊ฐ ์ด๋ ต์ต๋๋ค.
โข
DictAttack๊ณผ ๊ฐ์ด ํ๋กฌํํธ์ ๋ฌธ๋ฒ์ ๋ถ๋ฆฌํ์ฌ ๊ณต๊ฒฉํ๋ ๋ฐฉ์์ LLM์ "์๋ฏธ๋ก ์ ๊ฐ๊ทน(semantic gap)"์ ์
์ฉํ๋ฉฐ, ๊ธฐ์กด ๋ฐฉ์ด ๊ธฐ๋ฒ์ ํ๊ณ๋ฅผ ๋๋ฌ๋
๋๋ค.
โข
๋ณธ ์ฐ๊ตฌ๋ ๋ฐ์ดํฐ๋ฉด๊ณผ ์ ์ด๋ฉด์ ์์ฐ๋ฅด๋ ํตํฉ์ ์ธ ๋ฐฉ์ด ์ ๋ต์ ํ์์ฑ์ ๊ฐ์กฐํ๋ฉฐ, ํฅํ LLM ๋ณด์ ์ฐ๊ตฌ์ ์ค์ํ ๋ฐฉํฅ์ ์ ์ํฉ๋๋ค.
โข
DictAttack์ ๋์ ๊ณต๊ฒฉ ์ฑ๊ณต๋ฅ ์ ๊ฐ์ํ ๋, ํ์ฌ ์กด์ฌํ๋ ์ต์ ๋ฐฉ์ด ๊ธฐ๋ฒ์๋ ์๋นํ ๊ฐ์ ์ด ํ์ํ๋ฉฐ, ํฅํ์๋ ๋์ฑ ์ ๊ตํ๊ณ ํ์งํ๊ธฐ ์ด๋ ค์ด ๊ณต๊ฒฉ ๋ฐฉ์์ ๋ํ ์ฐ๊ตฌ๊ฐ ํ์ํฉ๋๋ค.
